5. Технический проект (1209996), страница 3
Текст из файла (страница 3)
Подключение к сетям общего пользования выполняется оператором связи ОАО «Транстелеком» через волоконно-оптический кабель.
Конфигурация информационной системы представлена на рисунке А.1 (см. приложение А).
Все серверы, объединены в одну локальную сеть, топология которой представлена на рисунке А.2 (см. приложение А)
Все ИС, которые используют вычислительные мощности ЦОД для централизованного управления введены в один домен. В качестве контроллера домена используется виртуальная машина под управлением операционной системы Windows server 2003. Маршрутизацией между сегментами сети и доступом в интернет управляет сертифицированный ФСТЭК-ом сервер под управлением операционной системы Altlinux.
Каждый сервер виртуализации имеет от 1 до 4 мостов для виртуальных машин.
Сервер виртуализации Proxmox 2.3:
а) вторичный контроллер домена под управлением операционной системы Windows server 2003. На сервере развернута СУБД MSSQL Server 2005, серверная часть и БД ПО «Дело» и «Архивное дело». Данный сервер настроен только на взаимодействие с ИС, использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
b) вторичный контроллер домена под управлением операционной системы Windows server 2003. На данном сервере находится внутренний DNS сервер для всей сети. Данный сервер взаимодействует с сервером под управлением операционной системы Linux, на котором находится внешний DNS-сервер.
c) виртуальная машина под управлением операционной системы Windows XP . На данной виртуальной машине хранится база данных КУМИ, комитета по приватизации и управлению имуществом и др. Данная виртуальная машина настроена только на взаимодействие с ИС, использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
d) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как Web-сервер для официального сайта администрации и сайтов некоторых поселений. На данной виртуальной машине настроены два сетевых моста, и она настроена на взаимодействие с ИС находящиеся за пределами контролируемой зоны.
е) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как почтовый сервер. Данная виртуальная машина имеет две сетевых карты и настроена на взаимодействие с ИС находящиеся за пределами контролируемой зоны через выделенный сетевой мост. Данная виртуальная машина является уязвимым местом МИС ЦОД!
f) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется как файловый сервер. Данный сервер введен в домен и настроен только на взаимодействие с ИС, использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования. На данном сервере программа SAMBA разграничивает доступ к расшаренным папкам согласно прав доступа к данным в домене.
Сервер виртуализации Proxmox 2.3 под управлением операционной системы Debian.:
а) Сервер 1С:Предприятие под управление операционной системы Linux. На данном сервере находятся базы 1С. На данном сервере по несколько баз данных для каждого предприятия
b) виртуальная машина под управлением операционной системы Linux. Данная виртуальная машина используется как файловый сервер 1С:Предприятие. Данный сервер обслуживает бухгалтерии и тоже введен в домен. Данная виртуальная машина настроена только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
с) виртуальная машина под управлением операционной системы Linux . Данная виртуальная машина используется для обслуживания кадрового отдела. Данная виртуальная машина настроена только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования. Доступ настроен через программу SAMBA согласно прав в домене.
Сервер под управлением операционной системы Alt linux 4 сертифицированный ФСТЭК. Данный сервер используется как сетевой узел, объединяющий все сети ЦОДа. Сертификат не действителен. Данный серве используется как DNS сервер внутри ЦОДА и снаружи. Также данный сервер обеспечивает маршрутизацию всей сети и прокси сервер для всех сегментов сетей. Так же данный сервер обеспечивает маршрутизацию с сетями общего пользования.
Сервер резервирования под управлением операционной системы Linux введен в домен. Данный сервер используется для резервирования виртуальных серверов. Данный сервер настроен только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
Сервер виртуализации Proxmox 4 под управлением операционной системы Debian. Данный сервер используется как виртуальный сервер - контроллер Касперского. Данный сервер настроен только на взаимодействие с ИС использующими вычислительные возможности ЦОД и не имеет прямого доступа к сетям общего пользования.
Организации, с которыми ЦОД обеспечивает обмен информацией:
-
Министерства и ведомства края;
-
Федеральные структуры;
-
Прокуратура;
-
Судебный аппарат;
-
Казначейство;
-
Пенсионный фонд;
-
Центр занятости населения;
-
Банки;
-
Существующие меры защиты информации
Контроль доступа в здание осуществляется отделом охраны, а также с помощью турникетов с частичным перекрытием проема. Доступ работников ЦОД в здание осуществляется по индивидуальным пропускам. Граждане, находящиеся с ЦОД в договорных или иных гражданско-правовых отношениях, могут пройти в здание предварительно записав свои паспортные данные, на посту охраны. В помещении ЦОД ведется видеонаблюдение и имеется система видео регистрации сотрудников.
На границах контролируемой территории установлен металлический забор, и установлены камеры видеонаблюдения. Помещения оборудованы охранной сигнализацией.
Охранная сигнализация включается в конце рабочего дня и отключается в начале рабочего дня, в выходные и праздничные дни охранная сигнализация не отключается. В помещениях имеется пожарная сигнализация, работающая круглосуточно. Вся поступающая информация со средств охраны помещений централизовано поступает на пост охраны, помещение которого расположено на первом этаже у центрального входа и оборудовано «тревожной кнопкой».
Помещения ЦОД находится на 3 этаже здания. Вход в помещение осуществляется через деревянную дверь, которая запирается на замок.
Помещение серверной ЦОД, где обрабатывается и хранится информация, имеет двери, запирающиеся на ключ. На окнах установлены непрозрачные жалюзи.
Границами контролируемой зоны МИС являются ограждающие конструкции помещений (см. Приложение Б).
-
Меры по обеспечению безопасности ПДн
| № | Содержание мер по обеспечению безопасности информации |
| 1 | ИАФ1. Идентификация и аутентификация пользователей, являющихся работниками оператора |
| 2 | ИАФ2. Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных |
| 3 | ИАФ3. Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов |
| 4 | ИАФ4. Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
| 5 | ИАФ5. Защита обратной связи при вводе аутентификационной информации |
| 6 | ИАФ6. Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) |
| 7 | УПД1. Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей |
| 8 | УПД3. Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами |
| 9 | УПД4. Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы |
| 10 | УПД5. Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы |
| 11 | УПД6. Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) |
| 12 | УПД10. Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу |
| 13 | УПД11. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации |
| 14 | УПД13. Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационнотелекоммуникационные сети |
| 15 | УПД16. Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) |
| 16 | УПД17. Обеспечение доверенной загрузки средств вычислительной техники |
| 17 | ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения |
| 18 | ОПС2. Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения |
| 19 | ОПС3. Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов |
| 20 | ОПС.4Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов |
| 21 | ЗНИ1. Учет машинных носителей информации |
| 22 | ЗНИ2. Управление доступом к машинным носителям информации |
| 23 | ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны |
| 24 | ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах |
| 25 | ЗНИ5. Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации |
| 26 | ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации |
| 27 | ЗНИ.7 Контроль подключения машинных носителей персональных данных |
| 28 | ЗНИ8. Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) |
| 29 | РСБ1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
| 30 | РСБ2. Определение состава и содержания информации о событиях безопасности, подлежащих регистрации |
| 31 | РСБ3. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения |
| 32 | РСБ4. Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти |
| 33 | РСБ5. Мониторинг (просмотр, анализ)результатов регистрации событий безопасности и реагирование на них |
| 34 | РСБ6. Генерирование временных меток и (или) синхронизация системного времени в информационной системе |
| 35 | РСБ7. Защита информации о событиях безопасности |
| 36 | АВЗ1. Реализация антивирусной защиты |
| 37 | АВЗ2. Обновление базы данных признаков вредоносных компьютерных программ (вирусов) |
| 38 | СОВ1. Обнаружение вторжений |
| 39 | СОВ2. Обновление базы решающих правил |
| 40 | АНЗ1. Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей |
| 41 | АНЗ2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации |
| 42 | АНЗ3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
| 43 | АНЗ4. Контроль состава технических средств, программного обеспечения и средств защиты информации |
| 44 | АНЗ5. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе |
| 45 | ОЦЛ1. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации |
| 46 | ОЦЛ.2 Контроль целостности информации, содержащейся в базах данных информационной системы |
| 47 | ОЦЛ3. Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
| 48 | ОЦЛ4. Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) |
| 49 | ОТД.1 Использование отказоустойчивых технических средств |
| 50 | ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы |
| 51 | ОДТ3. Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование |
| 52 | ОДТ4. Периодическое резервное копирование информации на резервные машинные носители информации |
| 53 | ОДТ5. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала |
| 54 | ОДТ7. Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации |
| 55 | ЗСВ1. Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации |
| 56 | ЗСВ2. Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
| 57 | ЗСВ3. Регистрация событий безопасности в виртуальной инфраструктуре |
| 58 | ЗСВ4. Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры |
| 59 | ЗСВ6. Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных |
| 60 | ЗСВ7. Контроль целостности виртуальной инфраструктуры и ее конфигураций |
| 61 | ЗСВ8. Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры |
| 62 | ЗСВ9. Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
| 63 | ЗСВ10. Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей |
| 64 | ЗТС2. Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |
| 65 | ЗТС3. Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
| 66 | ЗТС4. Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр |
| 67 | ЗИС1. Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы |
| 68 | ЗИС3. Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи |
| 69 | ЗИС5. Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств |
| 70 | ЗИС7. Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода |
| 71 | ЗИС8. Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи |
| 72 | ЗИС9. Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видео информации |
| 73 | ЗИС.10 Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам |
| 74 | ЗИС11. Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
| 75 | ЗИС12. Исключение возможности отрицания пользователем факта отправки информации другому пользователю |
| 76 | ЗИС13. Исключение возможности отрицания пользователем факта получения информации от другого пользователя |
| 77 | ЗИС15. Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
| 78 | ЗИС17. Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы |
| 79 | ЗИС22. Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы |
| 80 | ЗИС23. Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационнотелекоммуникационными сетями |
| 81 | ЗИС24. Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения |
-
Технические средства зашиты информации, предлагаемые для использования в МИС ЦОД
Для всестороннего обеспечения безопасности информации, помимо организационных мер и встроенных средств защиты (в программных комплексах и операционных системах), необходимо использование дополнительных средств защиты информации, формирующих подсистемы СЗИ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
